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基于 P4 的 SDN 控制 -数据 平面 流 规则 一 致 性 校 验 
夏 计 强 ， 败 胶 帅 "， 李 子 勇 ， 兰 巨 龙 
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摘 要 : 针对 SDN 数据 平面 的 软 硬 件 故障 、 错 误 配 置 等 导致 的 控制 平面 和 数据 平面 流 规则 不 一 致 的 问题 ， 提 出 了 基 
于 P4 的 控制 -数据 平面 流 规则 一 致 性 校 验 机 制 (P4CV，P4-based Consistency Verification mechanism for SDN control- 
data plane)。P4CV 首先 向 数据 平面 发 送 特定 结构 的 探 针 ， 然 后 各 P4 交换 机 将 数据 平面 实际 流 规则 执行 信息 说 入 到 
探 针 ， 最 后 P4CV 采用 基于 符号 执行 的 一 致 性 校 验 算法 ， 完 成 对 控制 平面 流 规则 配置 和 数据 平面 喀 测 信息 的 一 致 性 
校 验 。 念 真 结果 表明 ，P4CV 的 单 路 径 校 验 时 长 不 受 网 络 拓扑 结构 影响 ， 仅 与 路 径 上 交换 节点 数量 线性 相关 。 在 同 
等 网 络 规模 和 流 规则 配置 的 多 路 径 转 发 场景 中 ，P4CV 在 仅 产生 约 0.06%o 带 宽 开 销 的 同时 ， 比 现 有 方案 平均 减少 了 
约 42% 的 校 验 时 长 。 
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P4-based rules consistency verification for SDN control-data plane 


Nm Xia Jiqiang, Cui Pengshuaif, Li Ziyong, Lan Julong 
9 (Information Technology Research Institute, People’s Liberation Army Strategic Support Force Information Engineering 
University, Zhengzhou 450000, China) 


Abstract: To solve the inconsistency of flow rules between the control plane and data plane caused by SDN data plane 
software and hardware faults, configuration faults, etc. , this paper proposed a P4-based Consistency Verification mechanism 
for SDN control-data plane (P4CV) . P4CYV firstly sent probes with a Specific structure to the data plane, and then each P4 
Switch inserted its runtime information of flow rules in the data plane into the probes. Finally, P4CV adopted the consistency- 
verification algorithm, based on symbolic execution, to compare the configuration from the control plane and telemetry 
information from the data plane. The simulation results show that the single path verification time of P4CV is not affected by 
the network topology and is only linearly related to the number of nodes on the path. In a multipath forwarding scenario, with 
the same network scale and traffic rules configured, P4CV generates only 0.06%o of bandwidth overhead and reduces the 
verification time by 42% compared with the existing scheme. 

Key words: SDN; P4; consistency; In-band network telemetry 


(9 0 ”引言 在 P4 等 数据 平面 编程 语言 出 现 之 前 ，SDN 控制 平面 和 
人 . 数据 平面 流 规则 一 致 性 问题 已 经 得 到 了 广泛 关注 [5 。 

CS 传统 网 络 架 构 中 控制 平面 与 数据 平面 紧 耘 合 ， 软 硬件 的 “Monocle[1 通 过 将 交换 机 转发 表 罗 辑 表述 为 布尔 可 满足 性 问 
更 新 升级 相互 制约 。 软 件 定义 网 络 LJ(SDN, software defined ” 题 来 快速 生成 针对 特定 规则 的 探 针 ， 不 仅 能 够 完成 对 网 络 稳 
network) 通 过 将 网 络 的 管理 控制 逻辑 从 设备 中 抽 离 出 来 ， 解 ” 态 下 己 加 载 的 流 规 则 的 校 验 ， 还 能 够 跟踪 重 配置 时 更 新 的 流 
耦 控制 平面 和 数据 平面 ， 构 建 了 一 种 高 效 管 控 的 新 型 网 络 体 。 规则 的 加 载 情况 。 针 对 文献 [8] 中 指出 的 商用 交换 机 中 存在 的 
系 结构 。SDN 在 设计 之 初 的 可 编程 性 主要 体现 在 控制 层 。 之 。” 流 规则 优先 级 故障 问题 ，Rulescope 外 进一步 提出 了 更 为 精确 
后 随 着 P4 外 、POFBI 等 数据 平面 领域 特定 语言 (DSL , domain ”高 效 的 一 致 性 校 验算 法 。VeriDPI'1 通 过 收集 探 针 的 路 径 信息 
specific language) 的 出 现 ，SDN 实现 了 线 速 处 理性 能 的 可 编 并 与 控制 平面 的 抽象 路 径 表 进行 比 对 ， 有 效 地 校 验 了 真实 网 
程 数 据 平面 , 网 络 开 发 人 员 可 以 利用 P4 的 抽象 转发 模型 , 灵 ” 络 流量 的 传输 路 径 ， 但 该 方案 需要 预先 构建 路 径 表 ， 增 加 了 
活 地 设计 数据 平面 的 处 理 逻 辑 。 基 于 此 ， 数 据 平面 对 新 协议 空 制 器 的 资源 消耗 。 上 述 基于 主动 探测 的 一 致 性 校 验 机 制 ， 


N| 


的 部 署 更 加 高 效 ， 在 流量 工程 、 网 络 测量 等 领域 中 得 到 了 广 都 能 够 对 控制 器 已 知 或 已 同步 的 流 规则 完成 校 验 ， 但 无 法 
泛 应 用 ks。 但 P4 为 数据 平面 带 来 可 编程 性 的 同时 ， 也 加 剧 ”检测 数据 平面 未 知 的 或 错误 配置 的 流 规则 所 导致 的 故障 。 
了 SDN 控制 平面 和 数据 平面 的 一 致 性 安全 问题 ， 即 数据 平 。 同时 ， 此 类 一 致 性 校 验 机 制 是 针对 基于 OpenFlow 的 SDN 
的 实际 转发 行为 与 控制 平面 预期 的 行为 不 一 致 。 一 方面 ， 流 规则 校 验 场景 设计 的 ,而 不 适用 于 目前 的 可 编程 数据 平 
作为 一 种 数据 平面 编程 语言 , P4 本 身 的 程序 漏洞 可 能 会 导致 ” 面 场景。 

裤 制 -数据 平面 出 现 不 一 致 的 情况 中， 另 一 方面 ， 当 网 络 运行 针对 SDN 可 编程 数据 平面 流 规则 一 致 性 校 验 场景 ， 近 
过 程 中 出 现 软 硬件 故障 、 网 络 管理 员 错误 配 置 或 者 遭 到 恶意 。 年 来 研究 人 员 提 出 了 一 系列 P4 程序 漏洞 检查 方案 03-131。 与 
攻击 时 ， 数 据 平面 仍 可 能 出 现 与 控制 平面 预期 行为 不 一 致 的 。 ”传统 的 程序 分 析 方法 类 似 ， 这 些 方案 主要 通过 对 P4 源 代码 
安全 问题 。 的 断言 检查 ,实现 对 P4 程序 的 静态 漏洞 分 析 。 显 然 , 此 类 方 


收 稿 日 期 : 2021-12-13; 修 回 日 期 : 2022-01-25 基金 项 目 : 国家 重点 研发 计划 (2019YFB1802501); 国家 自然 科学 基金 资助 项 目 (61872382) 

作者 简介 : 夏 计 强 (1996-)， 男 ， 安 徽 宿 州 人 ， 硕 士 研 究 生 ， 主 要 研究 方向 为 新 型 网 络 体系 结构 、 可 编程 数据 平面 ; 崔 鹏 帅 (1990-)， 男 ， 河 南安 阳 人 ， 
助理 研究 员 ， 主 要 研究 方向 为 新 型 网 络 体系 结构 、 可 编程 数据 平面 (Mainblack@126.com); 李子 勇 (1995-)， 男 ， 安 徽 蚌 埠 人 ， 博 士 研 究 生 ， 主 要 研究 方向 
为 软件 定义 网 络 内 生 安全 架构 ; 兰 巨 龙 (1962-)， 男 ， 河 北 人 ， 教 授 ， 博 导 ， 主 要 研究 方向 为 新 一 代 信 息 网 络 关键 理论 与 技术 、 信 息 网 络 安全 . 


202204.00074v1 


InaXIV: 


ch 
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法 无 法 检测 程序 编译 后 运行 时 出 现 的 错误 和 导致 的 不 一 致 问 
题 。 因 此 ， 可 编程 数据 平面 领域 的 最 新 研究 尝试 围绕 网 络 实 
际 运行 时 的 一 致 性 问题 开展 工作 。 文 献 [16] 开 创 了 对 P4 支 
持 的 智能 网 卡 的 控制 -数据 平面 不 一 致 性 的 研究 , 该 工作 分 析 
了 只 关注 P4 程序 漏洞 会 对 网 络 延 迟 、 吞 吐 量 等 性 能 造成 的 
严重 影响 。P4RLU07 通 过 引入 基于 强化 学 习 的 模糊 测试 , 实现 
了 单个 P4 交换 机 在 -运行 时 的 自动 化 验证 ， 但 该 机 制 不 适用 
于 SDN 网 络 规模 的 控制 -数据 平面 的 一 致 性 校 验 。 该 团队 进 
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如 何 处 理 数 据 包 。 运行 阶段 可 以 向 配置 阶段 指定 的 匹配 -动作 
表 中 增删 条 目 ， 并 在 特定 时 间 调 用 配置 阶段 生成 的 运行 时 控 
制 接口 (P4Runtime)， 将 匹配 规则 下 发 至 数据 平面 ， 以 便 将 配 
置 策略 作用 于 数据 报 文 。 
1.2 研究 动机 

在 SDN 网 络 运 行 过 程 中 ， 网 络 内 部 和 外 界 的 种 种 扰动 
都 可 能 会 引起 可 编程 数据 平面 的 不 一 致 转发 行为 (如 硬件 故 
障 、 恶 意 攻击 等 )。 图 1 给 出 了 一 个 典型 的 SDN 可 编程 数据 


mk 


一 步 提 出 了 一 种 面向 P4 SDN 的 控制 -数据 平面 一 致 性 校 验方 
法 P4Consist0g。 与 SDN 中 数据 平面 测量 的 传统 方法 类 似 ”19， 
P4Consist 需要 疝 网 络 注 入 大 量 的 探 针 以 检查 所 有 规则 或 路 


平面 不 一 致 转发 行为 的 示例 。 控 制 平面 通过 P4Runtime 接口 
为 数据 平面 配置 了 一 条 转发 路 径 5,. 忆 5; 忆 5, 疡 5 (图 中 实 线 
所 示 )， 以 及 相应 的 P4 处 理 逻 辑 和 流 规则 。 网 络 管理 人 员 在 


径 ， 不 仅 对 网 络 正常 通信 造成 影响 ， 还 会 增加 数据 平面 测量 
时 延 ,进而 使 测试 结果 缺乏 实时 性 。 同时， 由 于 P4Consist 需 


交换 机 5; 中 配置 了 防火 墙 规则 ， 以 保护 下 游 的 服务 器 资源 。 
如 果 交 换 机 8% 受到 恶意 攻击 (或 未 知 的 硬件 故障 等 ) 使 流 规则 


要 遍历 源 目 节点 间 的 所 有 路 径 ， 其 校 验 时 长 随 网 络 结构 的 复 
杂 化 急剧 增长 。 

因此 ， 如 何 快速 完成 对 运行 时 的 SDN 可 编程 数据 平面 
场景 下 的 流 规则 一 致 性 校 验 ， 成 为 可 编程 数据 平面 领域 号 待 
解决 的 安全 难题 。 对 此 ,本文 提出 了 基于 P4 的 SDN 控制 - 数 
据 平 面 流 规则 一 致 性 校 验 机 制 (p4CV P4-based rules 
Consistency Verification mechanism for SDN control-data plane)， 
并 基于 BMv2 软件 交换 机 02 完 成 了 原型 系统 的 开发 和 评估 。 
主要 贡献 如 下 : (1) 提 出 了 基于 P4 的 SDN 控制 -数据 平面 流 
规则 一 致 性 校 验 机 制 ， 完 成 了 对 运行 时 的 SDN 可 编程 数据 
平面 转发 行为 的 快速 一 致 性 校 验 ; (2) 提 出 了 基于 P4 的 网 络 
遥测 机 制 和 基于 符号 执行 的 一 致 性 校 验算 法 ， 完 成 了 对 可 编 
程 数据 平面 流 规则 执行 信息 的 快速 收集 和 高 效 准 确 的 一 致 性 
校 验 ; (3) 搭 建 了 仿真 模拟 系统 ， 实 验 结果 显示 ， 在 单 路 径 校 
验 场 景 中 ，P4CV 校 验 时 长 不 受 网 络 拓扑 结构 复杂 性 影响 ， 
仅 与 校 验 路 径 上 的 交换 节点 数量 线性 相关 。 在 多 路 径 校 验 场 
景 中 ，P4CV 在 仅 产 生 约 0.06‰o 带 宽 开 销 的 情况 下 ， 比 
P4Consistlt1s] 平 均 减 少 了 约 42% 的 校 验 时 长 。 


1 ”相关 背景 和 研究 动机 
1.1 P4 抽象 转发 模型 


被 窜改 , 致使 流量 的 实际 转发 路 径 转 为 一 中 一 % (图 中 虚线 
所 示 )。 这 会 导致 流量 绕 过 交换 机 5; 中 的 防火 墙 , 进而 可 能 对 


下 游 的 服务 器 资源 造成 损害 。 
各、 
编译 器 


控制 平面 
一 一 > 预期 转发 路 径 全 
一 一 一 人 实际 转发 路 径 


| P4Runtime 


图 1 可 编程 数据 平面 不 一 致 转发 示例 


Fig. 1 An example for the inconsistent forwarding behavior ofthe 


programmable data plane 
此 外 ， 流 规则 优先 级 错误 BE29 同 样 会 导致 类 似 的 不 一 臻 
转发 行为 。 例 如 : PicOS 2.1.3 中 设 定 了 交换 机 在 硬件 表 满 时 
用 软件 缓存 流 表 。 对 于 一 组 转发 路 径 重 炙 的 流 规则 (高 优先 
级 ) 和 克 ( 低 优先 级 )， 如 果 缓存 在 交换 软件 中 而 存储 在 硬 
件 表 中 ， 则 流量 会 违背 流 规则 的 优先 级 , 执行 5 的 匹配 -动作 


不 同 于 SDN 的 传统 OpenFlow 模型 叫 , P4 抽象 转发 模型 
设计 了 可 编程 的 解析 器 和 包 处 理 动 作 ， 支 持 自 定义 的 协议 类 
型 ， 实 现 了 对 数据 报 文 的 灵活 处 理 。 在 [2] 中 给 出 的 P4 抽象 
转发 模型 中 ， 交 换 机 转发 数据 包 的 过 程 主要 依赖 可 编程 的 数 
据 包 解析 器 、 多 级 匹配 -动作 流水 线 和 缓冲 区 三 部 分 组 件 。 
a) 解析 器 。 在 P4 转发 模型 中 ， 解 析 器 首先 对 数据 包 进 
行 处 理 ， 将 包头 从 数据 包 中 提取 出 来 ， 与 余下 的 载荷 分 开 组 
存 。 管 理 员 可 以 定制 数据 包头 结构 和 解析 流程 ， 解 析 流 程 会 
被 编译 器 编译 为 数据 包头 解析 图 并 配置 到 解析 器 上 ， 被 提取 
的 包头 部 分 按照 解析 图 进行 解析 。 

b) 多 级 流水 线 。 经 解析 器 解析 后 的 数据 包头 部 会 经 过 多 
级 匹配 -动作 表 , 这 些 匹 配 - 动 作 表 可 以 顺序 、 并 行 或 者 二 者 结 
合 的 方式 执行 ， 以 流水 线 的 形式 组 织 起 来 ， 分 为 入 口 流水 线 
和 出 口 流水 线 。 入 口 流水 线 用 于 确定 数据 包 的 输出 端口 和 队 
列 , 出 口 流水 线 则 负责 修改 数据 包头 部 的 信息 。 从 逻辑 上 看 ， 
P4 的 多 级 流水 线 是 由 一 系列 匹配 -动作 表 (Match-Action Table) 
组 成 的 一 个 有 向 无 环 图 。 加 载 P4 程序 的 底层 平台 对 数据 包 


表 中 的 指定 动作 。 类 似 地 ，HP 5406zl 商用 交换 芯片 不 支持 
流 规则 优先 级 ， 对 数据 报 文 的 处 理 始 终 按照 最 新 的 流 规则 而 
忽略 优先 级 。 这 些 情 况 会 导致 网 络 管理 人 员 开发 的 可 编程 数 
据 平 面 处 理 逻 辑 无 法 得 到 有 效 和 一 致 地 执行 。 


2 ”P4CV 设 计 


2.1 总 体 框架 
由 于 上 述 可 编程 数据 平面 的 不 一 致 转发 行为 是 在 网 络 运 
行 时 产生 ， 因 此 控制 平面 无 法 通过 针对 P4 程序 的 静态 分 析 
方法 来 获取 这 些 危及 网 络 安全 的 错误 配置 。 对 此 ， 本 文 提 出 
了 面向 可 编程 数据 平面 的 一 致 性 校 验 方法 P4CV 。 

P4CYV 工作 流程 如 图 2 所 示 。 首 先 ， 由 流量 生成 器 向 网 
络 数据 平面 输入 探 针 流 ， 为 降低 对 网 络 带 宽 的 影响 ， 探 针 1 
简单 的 五 元 组 信息 ( 即 源 / 目 卫 地 址 、 源 / 目 MAC 地 址 及 传输 
层 协 议 ) 和 必要 的 源 路 由 端口 序列 构成 。 然 后 ， 探 针 流 依 据 数 
据 平面 流 规则 配置 和 指定 的 源 路 由 端口 序列 到 达 目 的 节点 ， 途 
中 经 过 的 每 一 个 交换 机 都 将 五 元 组 匹配 的 流 规 则 信息 添加 


的 处 理 过 程 严格 按照 有 向 无 环 图 的 逻辑 进行 。 
c) 缓冲 区 ,缓冲 区 用 于 临时 存储 已 解析 但 尚未 进入 流水 
线 处 理 阶 段 的 数据 包头 部 ， 以 及 解析 后 余下 的 载荷 部 分 。 
从 P4 程序 的 工作 流程 来 看 ，P4 抽象 转发 模型 包括 配置 
介 段 和 运行 阶段 。 配 置 阶段 主要 是 设计 解析 器 解析 流程 ， 设 
置 匹配 -动作 表 的 执行 顺序 ， 并 指定 每 个 匹配 -动作 表 处 理 的 
头 部 字段 。 这 些 配置 决定 了 交换 机 支持 哪些 协议 以 及 交换 机 


下 


到 探 针 中 。 之 后 ， 当 探 针 流 到 达 目 的 节点 时 ，P4CV 采用 
岗 有 的 SFlowP1 方 法 对 探 针 流 进 行 采 样 。 探 针 收集 的 遥测 
数 


数据 (包括 实际 的 转发 路 径 和 流 规则 信息 ) 被 解析 出 来 并 交 
二 给 一 致 性 校 验 模块 。 最后， 一 致 性 校 验 模块 依据 数据 平 
看 收集 的 遥测 数据 和 控制 平面 返回 的 可 达 路 径 图 ， 通 过 采 
用 对 转发 路 径 分 析 和 符号 执行 的 方式 ， 完 成 对 数据 平面 转 
发 行为 一 致 性 的 校 验 。 
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P4CYV 由 以 下 四 个 功能 模块 构成 : 

a) 数据 平面 模块 。 设 计 实现 基于 P4 的 数据 包 处 理 逻 辑 ， 
完成 对 网 络 流量 的 转发 ， 并 将 遥测 数据 压 入 探 针 ; 

b) 控制 平面 模块 。 对 给 定 的 探 针 和 源 目 节点 , 依据 网 络 
拓扑 和 配置 信息 ， 返 回 可 达 路 径 图 ; 
c) 一 致 性 校 验 模块 。 依 据 可 达 路 径 图 和 遥测 数据 ， 完 成 
对 数据 平面 转发 行为 一 致 性 的 校 验 ; 
d) 输入 /输出 模块 。 P4CV 的 输入 为 一 个 探 针 流量 生成 
器 , 输出 为 转发 路 径 上 所 有 的 不 一 致 信息 (或 数据 平面 不 存在 
不 一 致 转发 行为 )。 
下 面 对 各 个 功能 模块 进行 详细 介绍 。 


流量 生成 器 


不 一 致 转发 


图 2 P4CYV 工作 流程 
Fig.2 了 P4CV workflow 

2.2 数据 平面 模块 

为 减少 遥测 过 程 对 网 络 正 常 通信 造成 的 影响 ， 同 时 提高 
流 规则 一 致 性 校 验 的 准确 性 , 本 文 提出 了 一 种 高 效 的 基于 P4 
的 网 络 遥 测 机 制 。 传 统 的 带 内 网 络 遥 测 GNT)P% 是 一 种 被 动 遥 
则 技术 ， 采 用 将 遥测 指令 和 数据 封装 到 正常 数据 分 组 中 的 方 
,探测 路 径 上 特定 的 遥测 数据 。 这样 的 方式 降低 了 数据 分 组 
有 效 载 荷 比 ， 增 加 了 数据 平面 开销 ， 对 网 络 中 的 正常 数据 
信 造 成 影响 ,对 此 ,本 文通 过 采用 特定 数量 和 结构 的 探 针 ， 


be 


Ce 


侠 要 此 


夏 计 强 ， 等 : 基于 P4 的 SDN 控制 -数据 平面 流 规 则 一 致 性 校 验 
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b) 对 探 针 的 处 理 。 如 图 3 中 实 线 所 示 ，P4CYV 依据 探 针 
包头 中 的 源 路 由 端口 序列 (SrcRoute 字段 )， 从 指定 的 出 端口 
转发 探 针 。 同 时 在 转发 探 针 之 前 ,将 遥测 数据 嵌入 探 针 包 中 。 
这 些 数据 被 记录 在 SW_Trace 字段 ， 包 括 当前 交换 机 ID 、 探 
针 包 入 端口 号 ， 和 探 针 依据 三 层 路 由 或 二 层 交 换 进 行 转发 时 
匹配 的 流 规 则 ID 以 及 相应 的 出 端口 号 ， 即 真实 数据 流转 发 
时 流 规则 执行 情况 ， 有 具体 格式 将 在 2.5 节 中 详细 阐述 。 

2.3 控制 平面 模块 
在 P4CV 中 ， 控 制 平面 主要 提供 一 致 性 校 验 的 对 照 数 据 
(包括 转发 路 径 和 流 规则 )， 它 将 网 络 配置 抽象 为 一 个 三 元 组 
结构 G={V,E,R} 。 其 中 , VV 表示 网 络 中 的 所 有 节点 ,EE 表示 六 
中 节点 间 的 有 向 边 ，R 表示 转发 规则 。 对 于 G 中 的 一 条 有 向 
边 (s, 四，R(s, 表示 节点 s 中 存在 :的 转发 规则 。 对 于 给 定 
的 探 针 和 源 目 节点 ， 控 制 平 面 模块 依据 网 络 拓 扑 和 流 规 则 配 
置信 息 ， 将 三 元 组 结构 的 源 目 交换 节点 间 的 可 达 路 径 图 交付 
给 一 致 性 校 验 模块 以 完成 最 终 的 校 验 工作 。 

此 外 , P4 中 的 控制 平面 下 发 给 数据 平面 的 流 规则 存储 在 
相应 的 配置 文件 中 (通常 为 JSON 格式 )， 各 交换 节点 对 应 于 
彼此 间 相 互 独立 的 配置 文件 。 这 些 文件 包含 各 交换 节点 对 应 
的 所 有 匹配 -动作 表 ( 即 转发 规则 ) 的 名 称 、 参 数 等 信息 。 控 制 
平面 模块 负责 解析 其 存储 的 交换 机 配置 文件 信息 。 致 性 
校 验 模块 从 数据 平面 接收 到 探 针 (五 元 组 流 ) 时 ， 由 控制 平面 
解析 配置 文件 信息 ， 解 析 结 果 转 存 为 一 个 字典 ， 其 中 键 是 交 
换 机 ID, 值 是 该 交换 机 的 JSON 配置 文件 中 所 有 可 用 规则 的 
一 个 列表 。 最 后 由 一 致 性 校 验 模块 以 符号 执行 的 方式 ， 对 控 


I 


制 平 面 解析 后 的 配置 信息 和 数据 平面 遥测 数据 进行 比 对 ， 以 
检测 控制 -数据 平面 的 不 一 致 性 。 
本 文通 过 对 控制 平面 和 数据 平面 采用 模块 化 设计 ， 延 续 


了 SDN 网 络 中 将 控制 平面 与 数据 平面 解 耦 的 基本 准则 。 因 
此 ， 控 制 平面 如 何 管 理 数据 平面 各 网 络 设备 相关 规则 的 方式 
是 设备 无 关 的 。 实 际 上 ， 基 于 JSON 格式 的 配置 文件 是 特定 
于 本 文 实验 采用 的 软件 交换 机 模型 BMv2)09 , 而 本 文 所 提 一 
致 性 校 验方 法 是 通用 的 。 如 果 控 制 平面 使 用 其 他 文件 格式 来 
存储 转发 规则 , 只 需要 调整 控制 平面 模块 中 的 解析 方式 即 可 。 
2.4 一 致 性 校 验 模块 

一 致 性 校 验 模块 负责 比 对 来 自 数据 平面 的 遥测 数据 和 控 


来 收集 正常 数据 分 组 转发 过 程 匹配 的 流 规 则 ID、 出 入 端口 号 
等 流 规则 执行 信息 ， 在 简化 探 针 结构 、 降 低 数据 平面 开销 的 
同时 ， 实 现 了 对 一 致 性 校 验 所 需 的 必要 信息 的 收集 。 
在 基于 P4 的 可 编程 数据 平面 中 ， 数 据 包 的 解析 过 程 被 
象 为 一 个 有 限 状态 机 (FSM , finite state machine)， 每 个 状态 
节点 代表 数据 包头 的 一 个 字段 ， 边 代表 状态 间 的 切换 。 解 析 
器 按 序 遍历 数据 包头 ， 并 在 执行 过 程 中 提取 各 字段 值 ， 由 预 
定义 的 匹配 -动作 表 进 行 处 理 。P4CV 对 探 针 的 解析 过 程 由 图 
3 中 的 解析 图 (parser graph) 表 示 。 从 图 中 可 以 看 出 ，P4CYV 数 


据 平 面 中 各 交换 节点 对 网 络 中 数据 分 组 的 处 理 包 含 两 种 多 辑 : 


SrcRoute 


Ethernet IPOption_INT Accept 


图 3 报 文 处 理 程序 解析 图 
Fig.3 Parse graph of packet processing program 
a) 对 正常 数据 分 组 的 处 理 。 与 传统 网 络 中 对 IP 数据 包 
的 处 理 流程 一 致 (图 3 中 虚线 ), P4CV 依据 三 层 路 由 或 二 层 交 
换 转发 正常 的 数据 分 组 ， 以 保证 网 络 正常 的 通信 业务 。 


制 平面 的 配置 信息 ， 以 完成 对 数据 平面 转发 行为 一 致 性 的 校 
验 。 一 致 性 校 验 模块 由 转发 路 径 分 析 和 符号 执行 两 部 分 功能 
组 成 。 
如 图 2 所 示 ， 当 收 到 数据 平面 遥测 数据 时 ， 一 致 性 校 验 
模块 向 控制 平面 模块 发 送 探 针 信息 并 获取 对 应 的 可 达 路 径 图 。 
发 送 的 探 针 信息 包括 探 针 包 结 构 和 给 定 的 源 目 节点 ， 其 格式 
为 [packet, src, dst] 。 转 发 路 径 分 析 功 能 模块 采用 DFS 搜索 算 
法 ， 以 src 为 起 点 遍历 可 达 路 径 图 ， 获 取 (src, dst) 间 所 有 符合 
网 络 配置 的 路 径 ， 进 而 判断 探 针 遥测 路 径 是 否 为 给 定 源 目 节 
点 间 符 合 配置 的 转发 路 笃 。 同 时 ， 为 加 快 遍 历 过 程 ， 搜 索 算 
法 采用 剪 枝 DFS 算法 (depth 为 探 针 转 发 路 径 的 长 度 )。 
为 提高 P4CV 校 验 结果 的 准确 性 ， 一 致 性 校 验 模块 在 完 
成 对 转发 路 径 的 校 验 后 ， 还 需要 对 转发 过 程 匹配 的 流 规则 进 
行 校 验 。 符 号 执行 功能 模块 根据 探 针 包 五 元 组 信息 生成 一 个 
有 相同 报头 的 符号 包 (SP, symbolic packet)， 然 后 沿 探 针 转 
发 路 径 逐 跳 模拟 该 SP 的 转发 过 程 。 对 SP 的 模拟 转发 过 程 采 
用 上 述 布尔 函数 实现 ， 己 在 2.2 节 中 详细 阐述 。 对 转发 路 径 
图 中 的 一 条 有 向 边 (u, v)， 如 果 节 点 u 中 存在 转发 规则 ru vw) 
且 与 控制 平面 流 规 则 一 致 ， 则 将 节点 2 标记 为 True 并 更 新 
SP。 校 验算 法 如 下 : 
算法 1 一 致 性 校 验 算法 (符号 执行 ) 
输入 :符号 包 SP， 校 验 路 径 path_spec， 流 规则 配置 信息 Rules。 
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录用 定稿 夏 计 强 ， 等 : 基于 P4 的 SDN 控制 -数据 
输出 : 校 验 结果 PATHS_CHECK, 不 一 致 的 交换 节点 信息 Error_Report。 
1. for switchEpath_spec do 
Pp if (last switch) then 
3., for ruleERules do 
4. if check (SP, rule) == TRUE then 
5. PATHS_CHECK 一 TRUE // 该 路 径 不 存在 一 致 性 问题 
6. elseif (last rule) then 
Ts SWITCH_CHECK 一 False 
8. PATHS_CHECK 一 False // 不 一 致 路 径 
9. Error_Report 
16. else 
1 for ruleERules do 
12， if check (SP, rule) == TRUE then 
13, SWITCH_CHECK 一 TRUE 
14. Go to next switch // 继 续 校 验 下 一 节点 
15 . elseif (last rule) then 
Tbs SWITCH_CHECK 一 False 
17. PATHS_CHECK 一 False // 不 一 致 路 径 
18 . Error_Report 
19. Go to next switch // 继 续 校 验 下 一 节点 


此 外 ,为 了 模拟 数据 包 在 交换 机 中 实际 的 查 表 转 发 行为 ， 
符号 执行 采用 顺序 查 表 的 方式 (不 考虑 流 表 优先 级 的 情况 )。 
同时 ， 为 保证 校 验 结果 的 准确 性 ，P4CV 对 流 规则 信息 的 校 
验 包括 目的 了 一、 出 /入 端口 号 、 流 规则 ID 等 。 如 果 流 规则 匹 
配 ， 则 该 交换 机 被 标记 为 True， 并 更 新 SP 中 各 字段 信息 ， 
之 后 继续 校 验 下 一 节点 ; 如 果 流 规则 匹配 失败 ， 则 该 节点 和 
相应 转发 路 径 被 标记 为 False, 输出 故障 信息 之 后 , 同样 继续 
校 验 下 一 节点 ， 以 检测 该 路 径 上 其 他 交换 节点 是 否 存在 流 规 
则 不 一 致 错误 。 

2.5 输入 /输出 模块 

本 节 将 介绍 P4CV 的 输入 /输出 模块 。 

1) 输入 模块 

P4CV 采用 INTP2] 的 方式 来 获取 数据 平面 实际 的 转发 行 
为 信息 ， 需 要 向 网 络 中 输入 探 针 流 。 因 此 ， 本 方案 的 输入 模 
块 即 为 探 针 流量 生成 器 。 为 了 避免 探 针 流 占 用 过 多 的 链 路 带 
宽 ， 每 个 探 针 仅 包含 基本 的 五 元 组 信息 和 必要 的 源 路 由 端 
序列 ， 探 针 包 格式 如 图 4 所 示 。 其 中 ， 探 针 包 的 转发 路 径 由 
给 定 的 源 路 由 端口 序列 确定 ( 即 指定 探 针 在 各 交换 节点 的 出 
端口 ), 五 元 组 信息 则 用 于 确定 真实 数据 流 依 据 三 层 路 由 或 二 
层 交 换 转 发 时 所 匹配 的 流 规则 信息 ， 各 信息 字段 设置 如 下 : 

a) SrcRoute(n bytes)。 源 路 由 端口 序列 ， 以 栈 结构 存储 探 
针 在 各 交换 节点 转发 时 的 出 端口 (7bits)， 以 及 相应 的 栈 底 标 
志 位 bos(1bit)， 占 n bytes(n<N,N 为 路 径 上 交换 节点 数量 )。 

b) IPOption INT(4 bytes)。IP 可 选 字 段 的 遥测 数据 标志 
字段 ， 同 时 记录 简要 的 遥测 信息 。 


EE 面 流 规 则 一 致 性 校 验 


2) 输出 模块 
本 方案 在 一 致 性 校 验 过 程 中 ， 会 逐个 比 对 探 针 经 过 的 每 
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一 台 交 换 机 ， 


标记 出 现 流 规 则 不 一 致 的 交换 机 。 在 一 致 性 


校 验 模块 完成 一 致 性 校 验 工作 后 ， 将 输出 每 条 转发 路 径 的 校 


合生 四 站 
验 结果 。 若 其 


FPF 某 些 路 径 存 在 不 一 致 的 情况 ， 则 同时 输出 该 


路 径 相应 故障 节点 信息 (包含 节点 DD、 流 规则 信息 等 )。 此 外 ， 
本 文 的 一 致 性 校 验算 法 在 发 现 路 径 上 不 一 致 交换 节点 时 ， 仍 


会 继续 校 验 路 径 下 游 其 他 交换 节点 。 因 此 在 给 定 路 径 存 在 不 


一 致 情况 时 ， 会 输出 该 路 径 所 有 的 故障 节点 信息 。 
3 ”实验 评估 


3.1 实验 设置 


为 验证 本 文 提 出 的 可 编程 数据 平 画 
的 可 行 性 和 有 效 性 ， 本 文 设置 了 两 组 实验 : 图 5 所 示 的 单 


一 致 性 校 验 机 制 


路 径 校 验 场景 和 图 6 所 示 的 多 路 径 校 验 场 景 。 其 中 ， 第 一 组 实 


验 以 图 5a 所 示 拓 扑 的 实验 结果 作为 单 路 径 校 验 场景 的 基准 值 ， 


第 二 组 实验 采用 
组 实验 以 10 次 实验 的 结果 的 平均 值 作为 最 终结 果 。 


目前 数据 中 心 广泛 部 署 的 胖 树 拓扑 (fat-tree)。 每 


Dstl Dst2 Dst3 Dst4 


(b) 不 同 节点 数量 的 栅 格 拓扑 (4/9/16) 
图 5 单 路 径 场 景 实验 拓扑 


Fig.5 Topologies of the single-path experiment 
实验 环境 和 参数 设置 如 下 : 实验 选用 BMv2 软件 交换 机 


n9 构 建 网 络 拓扑 ， 在 虚拟 机 中 的 Mininet23l 仿 


器 上 进行 测 


试 。 虚 拟 机 配 


为 Ubuntu 18.04-LTS 操作 系统 ， 搭 载 Intel 


Core i7-9700 3.00GHz 处 理 器 ，8G 内 存 。 在 单 次 实验 中 ， 分 


别 给 各 网 络 交 换 节 点 配置 了 相同 数 


量 的 转发 规则 


虽 


(15K,30K,60K)。 为 保证 校 验 结果 的 实时 性 ， 同时 减 小 探 针 流 
发 送 时 延 ， 源 节点 探 针 发 送 速 率 设 定 为 100pps。 此 外 ， 实 验 


c) SW_Trace(4 bytes)。 记 录 转 发 过 程 中 收集 的 流 规则 信 
息 ,包括 节点 ID、 流 规则 ID 和 出 入 端口 号 等 。 
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图 4 探 针 格 式 
Fig.4 Probe format 


Sre 


中 错误 配置 的 注入 采用 与 图 1 中 示例 相同 的 方式 ， 即 通过 可 
编程 交换 机 的 命 
配置 随机 地 分 布 在 转发 路 径 上 的 各 节点 中 。 


六 令 行 配置 接口 修改 其 中 的 流 规则 。 这 些 错误 
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图 6 多 路 径 场 景 实验 拓扑 


Fig.6 Topology of the multi-path experiment 
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3.2 单 路 径 校 验 

为 了 评估 本 方案 在 单 路 径 场景 下 的 一 致 性 校 验 性 能 ， 搭 
建 了 图 5 所 示 网 络 拓扑 。 图 5a 中，S1 作为 源 节点 ，S3、S5、 
S7、S9 依次 作为 目的 节点 。 首 先 由 源 节点 将 给 定单 条 路 径 对 
应 的 源 路 由 端口 序列 压 入 探 针 头 部 (格式 如 图 4), 然后 周期 性 
发 送 一 组 探 针 ， 目 的 节点 收 到 探 针 后 进行 采样 、 解 析 并 完成 
一 致 性 校 验 。 从 探 针 发 出 到 P4CV 完成 一 致 性 校 验 的 时 间 记 
为 完成 单条 路 径 校 验 的 总 时 长 7 校 验 过 程 中 的 符号 执行 时 
长 记 为 了 se。 从 图 7 中 实验 结果 可 以 看 出 ， 单 条 路 径 符号 执 


总 


行 时 间 和 校 验 总 时 长 都 与 该 路 径 上 交换 节点 的 数量 线性 相关 。 


Es 


于 和 从 执行 采 
相同 数量 的 流 规则 ， 因 此 符号 执行 时 长 以 及 配置 文件 解析 时 
延 均 与 路 径 上 交换 机 数量 线性 相关 。 同 时 ， 由 于 探 针 遥测 时 
日 
时 


顺序 查 表 的 方式 ， 且 每 台 交换 机 内 配置 了 


闻 为 微 秒 级 (以 1Gbps 链 路 计算 )， 可 忽略 不 计 ， 因 此 校 验 总 
长 同样 与 路 径 交 换 机 数量 线性 相关 。 从 图 7a 中 可 以 看 出 ， 
当 校 验 路 径 上 的 节点 不 超过 8 个 、 
15K 时 ，P4CV 能 够 在 30s 内 完成 对 所 有 错误 配 
位 ， 校 验 结果 具有 较 强 的 实时 性 和 可 靠 性 ， 从 1 
结果 的 准确 性 。 
此 外 , 为 进一步 验证 P4CV 中 控制 -数据 平面 一 致 性 校 验 
时 长 仅 与 路 径 上 交换 节点 数量 线性 相关 ， 而 与 网 络 拓扑 结构 
无 关 ， 本 文 同样 在 图 5b 的 网 络 拓扑 中 进行 了 单 路 径 一 致 性 
校 验 。 从 表 1 的 实验 结果 可 以 看 出 ， 在 转发 路 径 上 交换 节点 
数量 相同 的 情况 下 ，P4CV 在 不 同 网 络 拓扑 中 的 单 路 径 校 验 
时 长 基本 相等 ， 误 差 范围 不 超过 3%。 

表 1 各 拓扑 单 路 径 校 验 总 时 长 


单个 节点 流 规则 数量 为 
的 精确 定 
保证 了 校 验 
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Tab. 1 Total verification time of single-path scenario of each topology 
流 规则 数 人 
baseline grid 4sw baseline grid 9sw baseline grid 16sw 
15K 11 11 15 15 2 27 
30K 24 24 39 40 55 57 
60K 46 47 78 80 108 111 


3.3 多 路 径 校 验 

数据 中 心 网 络 是 可 编程 数据 平面 目前 应 用 最 广泛 的 网 络 
场景 。 因 此 ， 本 文 实验 搭建 了 图 6 所 示 的 数据 中 心 网 络 的 胖 
树 拓扑 (pod=4), 以 验证 本 文 提出 的 可 编程 数据 平面 一 致 性 校 
验 机 制 在 实际 部 署 中 的 可 行 性 和 有 效 性 。 该 拓扑 由 核心 层 、 
汇聚 层 和 边缘 层 的 各 交换 节点 构成 , 包括 4 个 核心 节点 、8 个 
汇聚 节点 和 8 个 边缘 节点 ， 每 个 边缘 节点 连接 2 台 服 务 器 。 
在 经 过 剪 枝 DFS 算法 计算 后 (depth=7), 该 拓扑 中 任意 一 对 不 
同 Pod 下 的 边缘 交换 节点 间 存 在 20 条 不 同 的 转发 路 径 。 

如 图 6 所 示 ， 实 验 选取 podl 和 pod3 中 的 两 台 服务 器 分 
别 作 为 探 针 的 发 送 和 接收 节点 。 图 中 给 出 了 两 节点 间 的 一 条 
转发 路 径 ( 图 中 虚线 所 示 )。 每 次 实验 通过 bash 脚本 在 源 目 节 
点 间 的 n 条 转发 路 径 中 注入 20 个 错误 配置 (2<n<20)， 并 记 
录 检 测 到 每 个 错误 配置 所 需要 的 时 间 。 
图 8 给 出 了 实验 中 P4CV 和 P4Consist 两 种 校 验 方法 的 
错误 配置 检测 时 间 的 累积 分 布 函数 (CDF ，Cumulative 
Distribution Function)。 从 图 中 可 以 看 出 ， 二 者 均 能 够 完成 
对 网 络 中 所 有 错误 配置 的 检测 ,但 P4CV 始终 比 P4Consist 先 
检测 到 各 路 径 上 的 错误 配置 。 通 过 引入 源 路 由 转发 机 制 ， 
P4CV 加 快 了 探 针 流 对 转发 路 径 的 遍历 过 程 。 同 时 ，P4CV 的 
一 致 性 校 验算 法 在 发 现 路 径 中 存在 错误 配置 时 ， 仍 继续 校 验 
转发 路 径 上 的 其 他 下 游 节 点 。 因 此 ， 单 个 探 针 足以 完成 对 单 
条 路 径 的 一 致 性 校 验 工 作 ， 极 大 地 缩短 了 探 针 流 对 错误 配置 
的 探测 时 间 。 此 外 ， 从 图 8 的 实验 结果 可 以 看 出 ， 二 者 校 验 
总 时 延 的 差 值 随 节点 中 流 规则 数量 的 增多 而 扩大 。 在 各 交换 
节点 中 流 规则 数量 分 别 为 15K、30K、60K 时 ，P4Consist 分 
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别 需 要 7mins、18mins 和 36mins 以 完成 对 所 有 错误 配置 (20 
个 ) 的 检测 。 而 对 于 同等 规模 的 网 络 配置 ，P4CV 分 别 只 需要 
4mins、10mins 和 20mins 的 检测 时 间 , 检测 效率 平均 提高 了 42%。 
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(b) 30K 条 流 规则 
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(c) 60K 条 流 规则 
图 7 单 路 径 实 验 结果 
Figure 7 Results of the single-path experiment 
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图 8 多 路 径 实验 结果 
Fig.8 Result ofthe multi-path experiment 


录用 定稿 


3.4 数据 平面 开销 

不 同 于 传统 方案 依靠 探 针 丢 包 率 、 延 迟 等 指标 的 校 验 方 
式 ， 本 方案 数据 平面 采用 基 P4 的 网 络 遥 测 机 制 收集 数据 平 
而 的 实际 转发 行为 信息 。 由 于 源 路 由 机 制 明确 了 遥测 路 径 ， 
单个 探 针 足 以 收集 单条 路 径 的 流 规则 信息 。 探 针 的 格式 如 图 
3 所 示 ， 单 个 探 针 总 长 度 最 长 为 46 + 5N bytes(N 为 路 径 上 交 
换 机 个 数 )。 以 图 6 中 的 4 层 胖 树 拓扑 为 例 (N= 7)， 探 针 长 度 
最 长 为 84 bytes, 探 针 流 以 100pps 的 速率 注入 网 络 , 对 1Gbps 
链 路 带宽 最 高 仅 产生 约 0.06‰ 的 带宽 消耗 。 


4 ”结束 语 


本 文 针对 SDN 中 控制 平面 和 数据 平面 流 规则 不 一 致 问 
题 , 提出 了 基于 P4 的 SDN 控制 -数据 平面 流 规则 一 致 性 校 验 
机 制 P4CV。P4CV 采用 了 基于 P4 的 网 络 遥 测 机 制 ， 充 分 发 
挥 了 可 编程 数据 平面 包 处 理 过 程 灵活 可 定义 的 优势 ， 进 而 完 
成 了 对 数据 平面 流 规则 执行 信息 的 快速 收集 。 同 时 ， 本 文 提 
出 了 基于 符号 执行 的 一 致 性 校 验算 法 ， 完 成 了 对 给 定 源 目 交 
换 节点 间 单 路 径 和 多 路 径 转 发 场景 的 流 规则 一 致 性 校 验 工作 。 
仿真 结果 表明 , 与 现 有 的 流 规 则 一 致 性 校 验 机 制 相 比 , P4CV 
的 单 路 径 校 验 时 长 仅 与 路 径 上 交换 节点 数量 线性 相关 ， 而 不 
受 网 络 拓扑 结构 变化 影响 。 同 时 对 于 多 路 径 转 发 场景 的 流 规 
则 一 致 性 校 验 ，P4CV 在 进一步 降低 数据 平面 开销 的 同时 ， 

惠 提 高 了 校 验 效 率 。 此 外 ， 本 文 所 提 方 案 面 向 基于 P4 的 
SDN 网 络 场景 设计 ， 其 核心 校 验 模型 能 够 在 所 有 支持 P4 编 
程 的 交换 设备 中 实现 快速 部 署 ， 具 有 良好 的 可 扩展 性 。 后 续 
工作 将 继续 优化 校 验 算法 ， 进 一 步 降低 校 验 时 长 。 
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